隐私信息管理体系－《PII控制者的控制目标、控制措施和实施》专业解读与应用实践操作指导（雷泽佳编制-2024A0）

PII控制者和PII处理者的控制目标和控制措施及实施指南之1：隐私信息管理体系－《PII控制者的控制目标、控制措施和实施》专业解读与应用实践操作指导（雷泽佳编制，2024年12月）编号事项控制内容PII控制者实施指南《PII控制者的控制目标、控制措施和实施指南》理解与应用实践操作指导要点A.1.2.1适用司法辖区的合法性依据：PII控制者在处理PII时，应遵守所在司法辖区的相关法律法规。这包括但不限于数据保护法、隐私法、消费者权益保护法等与PII处理相关的法律法规。PII控制者应密切关注这些法律法规的更新和变化，确保其处理活动始终符合最新的法律要求。明确规定的和合法的目的：PII控制者在收集和处理PII之前，应明确处理的目的，并确保该目的合法且具体。处理目的应与PII控制者的业务活动直接相关，并且不应超出PII主体合理预期的范围。例如，收集个人联系方式的目的可能是为了提供客户服务、发送营销信息或进行市场分析等。形成文件：PII控制者应将处理PII的目的和法律依据形成文件。这些文件应详细、准确地描述收集和处理PII的目的、范围、条件、方式以及所依据的法律法规条款。这些文件记录不仅有助于PII控制者内部管理，也是应对监管审查和法律责任的重要依据。A.1.2.2识别目的并形成文件组织应识别拟处理PII的特定目的并形成文件。组织应确保PII主体理解其PII拟被处理的目的。将此目的明确形成文件并与PII主体沟通是组织的责任。没有明确陈述的处理目的同意和选择不能适当给予。识别拟处理PII的特定目的；组织在处理PII之前，应明确并识别出具体的处理目的。这些目的应与组织的业务活动直接相关，且合法合规。处理目的应具体、明确，避免模糊或笼统的表述。例如，如果处理目的是市场营销，则应明确说明是为了发送推广邮件、电话营销还是其他具体的营销活动。形成文件并与PII主体沟通；组织应将识别出的处理目的形成书面文件，确保有明确的记录可供查阅；这些文件应详细、准确地描述处理PII的目的、范围、方式以及可能涉及的个人信息类型等；组织有责任确保PII主体能够理解其PII被处理的目的。因此，组织应以清晰、易懂的方式向PII主体传达这些信息，例如通过隐私政策、用户协议或单独的告知函等。没有明确陈述的处理目的同意和选择不能适当给予；如果组织未能明确陈述处理目的，或者处理目的与PII主体的合理预期不符，那么PII主体可能无法做出适当的同意或选择；在这种情况下，组织不得擅自处理PII主体的个人信息，而应首先与PII主体进行沟通，明确处理目的并获得其同意。处理PII的目的（一个或多个）的文件应足够清晰和详细，要求提供给PII主体的信息应能用（见“B.1.3.3确定PII主体所需的信息”）。这包括为获得同意所必需的信息（见“B.1.2.4确定何时以及如何获得同意”），以及策略和程序的记录（见“B.1.2.9与处理PII相关的记录”）。处理PII目的的文件要求；清晰性：处理PII的目的文件应足够清晰，确保任何阅读该文件的人都能准确理解处理PII的具体目的；详细性：文件应详细阐述处理PII的一个或多个目的，包括但不限于处理的数据类型、处理方式、处理期限等关键信息；合规性：文件内容应符合适用司法辖区的法律法规要求，确保处理PII的合法性。文件还应满足以下特定要求：提供必要信息：根据ISO/IEC27701.2附录B“B.1.3.3确定PII主体所需的信息”，文件应包含PII主体为理解其信息如何被处理所需的所有关键信息；支持同意获取：依据ISO/IEC27701.2附录B“B.1.2.4确定何时以及如何获得同意”，文件应提供足够的信息以支持PII主体做出明智的同意决定。与PII主体的信息共享规范。信息透明：PII控制者有责任确保PII主体了解其信息如何被处理。因此，应主动向PII主体提供处理目的文件，并确保其易于获取和理解；记录保留：根据ISO/IEC27701.2附录B“B.1.2.9与处理PII相关的记录”，PII控制者应保留所有与处理PII相关的策略和程序的记录，以备监管审查或PII主体查询。在部署云计算服务时，IS0/IEC19944中的分类法对于描述PII处理目的提供术语可能有帮助。ISO/IEC19944-2017《信息技术-云计算-云服务和设备－数据流、数据类别和数据使用》标准提供了一种分类法，用于描述和分类PII处理的不同目的。这种分类法有助于组织更系统地理解和管理PII处理活动，确保处理目的的准确性和一致性。在部署云计算服务时，组织应充分利用ISO/IEC19944分类法，对PII处理目的进行细致的分类和描述。这不仅可以提高处理目的的明确性，还有助于组织在后续的数据处理活动中更好地遵循隐私保护原则。通过应用ISO/IEC19944分类法，组织还可以更方便地与监管机构、审计机构以及PII主体进行沟通，展示其对PII处理活动的透明度和合规性。A.1.2.3识别合法性基础组织应针对已识别的PII处理目的，确定相关合法性依据并形成文件、遵守相关合法基础。一些司法辖区要求组织能够证实其在处理PII前其合法性已正确建立。确保处理PII前的合法性基础：些司法辖区的要求；合法性证明的必要性：多个司法辖区已经明确规定，组织在处理PII时，必须能够证实其处理的合法性。这意味着，组织不仅需要了解并遵守相关法律法规，还需要在实际操作中，通过具体的措施和流程来确保处理行为的合法性；合规性审查：为了验证组织的合规性，司法辖区可能会要求组织提供处理PII的合法性基础的相关证明。这些证明可能包括但不限于法律文件、合规政策、内部审批流程等，以证明组织在处理PII时已经充分考虑了法律法规的要求，并采取了相应的措施来确保合规性。为了满足这一要求，组织应采取以下措施：全面梳理法律法规：组织应全面梳理并了解相关司法辖区的隐私保护法律法规，明确处理PII的合法性基础。这包括了解哪些处理行为是合法的，哪些需要获得PII主体的同意，以及哪些行为可能构成违法等；建立合规体系：基于法律法规的要求，组织应建立一套完整的合规体系。这包括制定合规政策、明确处理PII的流程、设立内部审批机制等，以确保所有处理行为都符合法律法规的要求；建立记录和证明机制：组织应建立完善的记录和证明机制，以确保在处理PII时能够随时提供合法性基础的证明。这包括记录处理PII的目的、法律依据、处理范围、处理方式、安全措施等信息，并确保这些信息的真实性和完整性。在必要时，组织应能够向监管部门或PII主体提供充分的证据，证明其处理PII的合法性。处理PII的合法性依据可包括：PII主体的同意；履行合同；遵守法律义务；保护PII主体的重要利益；为公众利益而执行的任务；PII控制者的合法利益。确立处理PII的合法性基础：处理PII的合法性依据与策略PII主体的同意：这是最直接且常见的合法性基础。组织应确保在收集、使用、存储或传输PII之前，已获得PII主体的明确同意。同意可以是书面的、口头的或电子形式的，且应具体、明确、可验证；履行合同：当处理PII是履行合同所必需时，这也构成了合法性基础。例如，在提供在线服务时，处理用户的PII可能是为了履行合同中的服务条款。遵守法律义务：组织在处理PII时，必须遵守相关法律法规和监管要求。当处理PII是为了遵守法律义务时，这也构成了合法性基础；保护PII主体的重要利益：在某些情况下，处理PII可能是为了保护PII主体或他人的生命、健康、财产等重要利益。这种情况下，处理PII具有正当性；为公众利益而执行的任务：当组织执行的任务是为了公众利益，如公共卫生、教育、科学研究等，且处理PII是实现这些任务所必需的，这也构成了合法性基础；PII控制者的合法利益：在不影响PII主体权益的前提下，组织可以基于其合法利益处理PII。例如，为了改进产品或服务、进行市场分析或防止欺诈等。组织应针对每一PII处理活动将此依据形成文件（见“B.1.2.9与处理PII相关的记录”）识别并文档化处理PII的合法性基础识别合法性基础组织在处理PII时，必须首先识别其处理的合法性基础。这些基础可能包括但不限于：PII主体的明确同意；履行与PII主体签订的合同所必需；遵守法律法规规定的义务；保护PII主体或他人的重要利益；为实现公众利益而执行的任务；组织自身的合法利益（在不侵犯PII主体权益的前提下）。文档化合法性基础的要求；为了确保处理的合法性和透明度，组织应针对每一PII处理活动将其合法性基础形成文件。具体而言，组织应做到以下几点：记录详细：组织应详细记录每一PII处理活动的合法性基础，包括处理的依据、目的、范围等关键信息；及时更新：由于法律法规和监管要求可能不断变化，组织应及时更新其处理PII的合法性基础记录，以确保与最新要求保持一致；易于获取：组织应确保相关记录易于获取和查阅，以便在必要时向监管机构或PII主体提供证明；保护隐私：在记录和处理PII时，组织应采取必要的安全措施，确保PII的保密性、完整性和可用性。与实施指南的关联。本部分内容与ISO/IEC27701.2附录B中的“B.1.2.9与处理PII相关的记录”密切相关。该条款要求组织建立并维护与处理PII相关的详细记录，以确保处理的透明度和可追溯性。因此，在识别并文档化PII处理活动的合法性基础时，组织应参考该条款的要求，确保记录的完整性和准确性。根据《隐私信息管理－第1部分：PII控制者的控制目标、控制措施和实施指南》中的“B.1.2.9与处理PII相关的记录”要求，组织应建立并维护与处理PII相关的详细记录。这些记录应包括但不限于：处理PII的合法性基础；处理活动的具体描述，包括处理的目的、方式、范围等；PII的类别和来源；处理活动的起止时间；负责处理活动的部门或个人；采取的安全措施和风险控制措施；与处理活动相关的其他重要信息。组织的合法权益可包括，例如：信息安全目标，应与隐私保护有关的对PII主体的义务取得平衡。平衡组织权益与隐私保护义务合法权益的界定；组织的合法权益是其在经营活动中追求自身利益的权利，这些利益应与法律法规、社会道德和行业标准相符合；组织的合法权益可能包括以下几个方面：信息安全目标：组织有责任确保自身信息系统的安全，防止数据泄露、网络攻击等安全事件的发生。信息安全目标是组织合法权益的重要组成部分，它关乎组织的声誉、客户信任以及业务连续性；合规性要求：组织必须遵守相关法律法规和行业标准，包括数据保护法规、消费者权益保护法、知识产权法等。合规性不仅是法律义务，也是组织维护自身权益的基础；商业利益：组织在追求经济效益的同时，也需关注客户隐私保护。商业利益与隐私保护并非对立关系，而是可以相互促进的。通过建立良好的隐私保护机制，组织可以赢得客户的信任，进而促进业务的发展；社会责任：作为社会的一员，组织有责任保护个人信息，维护社会公共利益。这包括但不限于防止个人信息被滥用、保护未成年人隐私、促进信息社会的健康发展等。“平衡”意味着组织在追求自身权益的同时，不能忽视或损害PII主体的隐私权益，组织的合法权益保障不能以对PII主体的隐私侵害为代价。组织应综合考虑其合法权益与隐私保护义务之间的关系，确保两者之间的和谐共存、两者之间的平衡；组织在处理PII时，也承担着对PII主体的隐私保护义务，包括保护个人信息的安全、确保信息的准确完整、尊重个人的信息自主权等。隐私保护的义务；PII控制者在处理PII时，应充分尊重并保护PII主体的隐私权和数据安全；这包括确保数据的准确性、完整性、保密性，以及防止数据泄露、滥用和未经授权的访问。平衡的实现：为了实现这一平衡，组织可以采取以下措施：明确合法性基础：组织在处理PII时，必须首先明确其处理的合法性基础。这包括获得PII主体的同意、履行合同义务、遵守法律法规要求等。明确合法性基础是平衡组织权益与隐私保护的前提；实施最小必要原则：组织应仅收集、使用和处理实现特定目的所必需的PII。避免过度收集或使用个人信息，以减少对PII主体隐私的侵害。加强透明度与沟通：组织应与PII主体保持透明沟通，明确告知处理PII的目的、方式、范围以及可能的风险。通过增强透明度，建立与PII主体的信任关系；采取安全措施：组织应采取必要的安全措施，确保PII的保密性、完整性和可用性。这包括加密技术、访问控制、审计日志等，以防止数据泄露或滥用；建立隐私保护政策与程序：组织应制定详细的隐私保护政策与程序，明确员工在处理PII时应遵循的规范和流程。同时，组织应定期对隐私保护政策进行审查和更新，以适应法律法规和技术的变化。每当根据PII的性质（例如健康信息）或相关PII主体（例如与儿童相关的PII）定义了特殊类别的PII时，组织应将这些类别的PII纳入其分类方案中。特殊类别PII的分类与管理特殊类别PII的定义；特殊类别的PII：指那些由于其内容或关联的主体而具有特殊敏感性或重要性的个人信息。这类信息可能包括但不限于：健康信息：这包括但不限于个人的医疗记录、健康状况、遗传信息、疾病诊断、治疗计划等。这类信息极度敏感，一旦泄露或被不当使用，可能对个人的身心健康造成严重影响；与儿童相关的PII：儿童作为社会的弱势群体，其个人信息需要得到更加严格的保护。这类信息可能包括儿童的姓名、年龄、性别、出生日期、家庭住址、学校信息、照片等，以及可能间接透露儿童身份的信息，如父母的姓名、联系方式等；金融信息：包括个人的银行账户详情、信用卡信息、交易记录、投资情况等。这类信息涉及个人的财产安全和金融隐私，一旦泄露，可能导致经济损失或身份盗用；生物识别信息：如指纹、面部识别、虹膜扫描等生物特征数据，这类信息具有唯一性且难以更改，一旦泄露或被滥用，将对个人隐私和安全构成严重威胁；身份信息：身份信息是个人身份的核心标识，包括身份证、驾驶证、护照等政府颁发的身份证件号码及其相关信息。由于这类信息直接关联到个人的身份认证和识别，因此其敏感性极高。一旦泄露，可能被不法分子用于身份盗用、欺诈等违法行为，对个人造成严重的法律和经济后果；位置信息：位置信息涉及个人的行踪轨迹和常驻地点，如GPS定位数据、家庭住址、工作单位等。这类信息可能间接透露个人的生活习惯、社交关系等敏感内容。若被不当获取或利用，将对个人隐私构成严重威胁，甚至可能引发安全问题；社交媒体信息：社交媒体信息包括个人在社交媒体平台上的账号、昵称、发布的照片、视频、状态更新等。这类信息往往包含个人的生活细节、兴趣爱好、人际关系等丰富内容。一旦泄露或被滥用，可能对个人的声誉、社交关系等造成不良影响；教育背景信息：教育背景信息涉及个人的学历、学位、毕业院校、专业方向等。虽然这类信息在求职、升学等场合中常被使用，但也可能被用于构建个人的完整画像，进而进行精准营销或欺诈活动。因此，其保护同样重要；职业信息：职业信息包括个人的工作单位、职位、薪资水平、工作职责等。这类信息直接反映了个人的职业发展状况和经济状况。一旦泄露，可能对个人的职业前景、经济状况等造成不利影响，甚至可能引发职场竞争中的不公平现象；网络行为信息：网络行为信息记录了个人在互联网上的活动轨迹，如浏览记录、搜索记录、购物记录、在线活动日志等。这类信息可能包含个人的兴趣爱好、消费习惯等敏感内容。若被不当使用，将严重侵犯个人隐私权，甚至可能导致个人财产受损；其他敏感信息：其他敏感信息包括宗教信仰、政治观点、性取向等个人敏感偏好。这类信息涉及个人的价值观、信仰等深层次内容，是个人身份认同和个性表达的重要组成部分。一旦泄露，可能对个人造成极大的心理压力和社会歧视，甚至可能引发社会冲突和不稳定因素。将特殊类别PII纳入分类方案。组织在处理PII时，必须建立一套完善的分类方案，以确保对各类PII进行恰当的管理和保护。对于上述特殊类别的PII，组织应采取以下步骤将其纳入分类方案中：明确识别：组织应明确识别哪些信息属于特殊类别的PII。这要求组织对PII的性质和相关PII主体有深入的了解，并能够根据法律法规和行业标准对特殊类别PII进行准确定义；制定分类标准：基于特殊类别PII的识别，组织应制定详细的分类标准。这些标准应明确各类特殊类别PII的特征、处理要求、保护措施等，以便员工能够准确地将信息归类并采取相应的管理措施；纳入分类方案：将制定好的分类标准纳入组织的PII分类方案中。组织在处理PII时，必须按照分类方案对特殊类别PII进行标识、分类和管理，确保其得到适当的保护和处理；培训员工：组织应对员工进行隐私信息管理的培训，特别是关于特殊类别PII的识别、分类和保护措施。员工应了解特殊类别PII的敏感性，并知道如何正确地处理这类信息。无论何时规定PII的特殊分类，无论是按PII的性质（如健康信息）或按PII主体的关注度（例如与儿童相关的PII），组织将在其分类方案中包含这些类别。识别并包含PII特殊分类的合法性基础全面识别PII特殊分类；组织应对处理的PII进行全面梳理，识别出所有符合特殊分类标准的信息。这包括但不限于健康信息、儿童相关信息、金融信息、生物识别信息等高度敏感或需特别保护的信息类别；组织应关注法律法规、行业标准及国际惯例中对于PII特殊分类的定义和要求，确保识别工作的准确性和全面性。明确包含于分类方案中：分类方案制定：在识别出特殊分类的PII后，组织应制定详细的分类方案。该方案应明确各类PII的定义、范围、处理方式、保护措施以及责任人等关键要素，确保每类PII都能得到恰当的管理；纳入管理：在制定或更新PII分类方案时，组织应明确将识别出的特殊分类信息包含在内。分类方案应详细列出各类PII的定义、范围、处理要求及保护措施。对于特殊分类的PII，组织应设定更为严格的处理规则和安全措施，如加密存储、访问控制、审计跟踪等，以确保其处理活动的合法性和安全性。这些类别中的PII分类可因不同司法辖区而不同，可因不同行业采用的监管制度不同而变化，因此组织需要了解适用于PII的分类得到执行。识别并适应PII分类的合法性基础差异司法辖区差异：不同国家和地区对于PII的保护要求和分类标准可能存在显著差异。组织需要深入了解并遵守其所在司法辖区的相关法律法规，确保PII分类的合法性和合规性。这包括了解哪些信息被视为敏感信息、哪些信息需要特别保护，以及相应的法律责任和处罚措施等；【示例】：欧盟：在欧盟地区，PII（个人可识别信息）受到严格的保护。欧盟的《通用数据保护条例》（GDPR）对PII进行了广泛的定义，包括任何可以直接或间接识别自然人的信息。例如，姓名、地址、电子邮件地址、身份证号码、IP地址等都可能被视为PII。此外，GDPR还特别强调了特殊类别数据的保护，如种族、宗教、健康数据等。美国：在美国，虽然联邦层面没有统一的PII保护法律，但各州和某些行业（如医疗、金融）有各自的隐私和数据保护法规。例如，加州的《加州消费者隐私法》（CCPA）对PII的定义和保护措施与GDPR有所不同。CCPA更侧重于保护消费者的个人信息，要求企业向消费者提供更多关于其个人信息收集、使用和共享的信息，并赋予消费者删除其个人信息和禁止将其个人信息出售给第三方的权利。行业监管制度：不同行业可能采用不同的监管制度，对PII的分类和保护要求也可能有所不同。组织需要密切关注其所在行业的监管动态，及时调整PII分类方案，以符合行业标准和最佳实践。这包括了解行业内的隐私保护政策、数据保护原则以及相关的认证和审计要求等；【示例】：金融行业：在金融行业，PII的保护尤为重要，因为金融信息往往涉及客户的财产安全。金融行业监管机构通常要求金融机构对PII进行严格的分类和管理。例如，客户的姓名、地址、电话号码、银行账户信息等被视为敏感信息，需要采取额外的安全措施来保护。此外，金融行业还有特定的数据保护法规，如《中华人民共和国反洗钱法》和《客户身份识别程序》等，这些法规对PII的分类、收集、存储、使用和共享都提出了明确的要求。医疗健康行业：在医疗健康行业，患者的健康信息被视为高度敏感的PII。医疗健康机构需要遵守《健康保险流通与责任法案》（HIPAA）等法规，对患者的健康信息进行严格的保护。HIPAA对PII的分类非常详细，包括个人身份信息（如姓名、地址、电话号码等）、受保护的健康信息（如医疗记录、诊断结果、治疗方案等）等。医疗健康机构需要确保这些信息的机密性、完整性和可用性。组织业务特点：组织的业务特点和运营模式也可能影响PII的分类。例如，处理大量用户数据的互联网企业可能需要更加精细化的PII分类方案，以应对复杂的数据处理场景和潜在的安全风险。组织应根据自身业务特点，制定符合实际需求的PII分类方案。【示例】：互联网企业：互联网企业通常处理大量的用户数据，包括用户的浏览记录、搜索历史、在线交易信息等。这些企业需要根据自身的业务特点对PII进行分类和管理。例如，一家电商平台可能需要将用户的购买记录、收货地址、支付信息等视为敏感信息，并采取严格的安全措施来保护。而一家社交媒体平台则可能需要将用户的个人资料、发布的内容、社交关系等视为重要信息，以便为用户提供个性化的服务和推荐。传统零售行业：与互联网企业相比，传统零售行业的PII分类可能相对简单。这些企业通常主要处理客户的购物记录、会员信息、联系方式等。然而，传统零售企业也需要根据自身的业务特点对PII进行分类和管理。例如，对于会员信息，企业可能需要采取额外的安全措施来保护会员的隐私权益；对于购物记录，企业可能需要遵守相关的消费者保护法规，确保信息的合法使用。使用特殊分类的PII还可采用更为严格的控制。对特殊分类PII实施更严格控制的必要性及措施实施更严格控制的必要性；保护个人权益：特殊分类的PII往往涉及个人的核心隐私和权益，如健康、财务、身份等。严格的控制措施能够确保这些信息不被非法获取或滥用，从而保护个人的合法权益；遵守法律法规：许多国家和地区都有针对特殊分类PII的专门法律法规，要求组织必须采取严格的安全措施。违反这些规定可能导致严重的法律后果，包括罚款、声誉损失甚至刑事责任；维护组织声誉：组织对特殊分类PII的严格保护不仅是对个人权益的尊重，也是维护自身声誉和信誉的重要举措。一旦发生信息泄露或滥用事件，组织的品牌形象和信任度将受到严重损害。对特殊分类PII实施更严格的控制措施。增强型访问控制与权限管理；实施细粒度的访问控制策略，确保只有经过严格授权的人员才能访问特殊分类的PII；定期审查和更新访问权限，及时撤销不再需要的访问权限，确保权限管理的动态性和有效性；采用多因素认证或生物识别技术等高级身份验证手段，增强访问控制的安全性。高级加密技术与安全存储；使用更高级的加密算法对特殊分类的PII进行加密存储，确保信息在存储状态下的安全性；对加密密钥进行严格管理，确保密钥的安全性和不可泄露性；采用分布式存储或云存储解决方案时，确保特殊分类的PII在传输和存储过程中均得到充分的加密保护。全面的审计与监控体系；建立针对特殊分类PII的专项审计机制，定期对信息处理活动进行审计和检查；实施实时监控，对特殊分类PII的访问、处理、传输等活动进行实时监控和记录；对审计和监控结果进行深入分析，及时发现并纠正潜在的安全隐患和违规行为。专门的数据处理流程与规范；制定针对特殊分类PII的专门数据处理流程，明确各处理环节的责任人和操作规范；对涉及特殊分类PII的数据处理活动进行严格的审批和记录，确保每一步操作都有据可查；定期对数据处理流程进行审查和更新，以适应业务发展和法律法规的变化。应急响应与数据恢复计划。针对特殊分类PII可能发生的泄露、篡改或丢失等安全事件，制定详细的应急响应计划；明确应急响应的流程、责任人和处置措施，确保在事件发生时能够迅速、有效地应对；建立数据备份和恢复机制，确保在发生安全事件时能够及时恢复特殊分类的PII。PII处理目的的变更和延伸可能要求升级和/或修订合法性依据。这还会要求获得PII主体的额外同意。PII处理目的变更与合法性依据的动态管理PII处理目的的变更与延伸；PII处理目的变更与延伸时合法性依据的升级/修订情形，包括但不限于：业务发展与产品创新：随着组织的业务不断发展和产品创新，原有的PII处理目的可能已无法满足新业务或新产品的需求。例如，一个原本只提供在线购物服务的电商平台，计划增加金融服务功能，这就需要处理用户的金融信息，从而需要对原有的合法性依据进行升级或修订，以涵盖新的处理目的；市场环境变化：市场环境的快速变化，如消费者偏好的转变、竞争对手的策略调整等，可能促使组织调整其PII处理策略。例如，为了提升用户体验，组织可能计划收集更多关于用户偏好的信息，这就需要对原有的合法性依据进行修订，以确保新的处理目的符合法律法规要求；法律法规与监管要求的更新：法律法规的修订或新法规的出台，可能对PII处理提出新的要求或限制。组织需要密切关注法律法规的变化，并及时对合法性依据进行升级或修订，以确保其PII处理活动符合最新的法律要求。例如，某国颁布了新的数据保护法案，对PII的收集、使用、存储等提出了更严格的要求，组织就需要相应地调整其合法性依据；PII主体权益保护需求的提升：随着社会对个人隐私保护的重视程度不断提高，PII主体对其个人信息的权益保护需求也在不断提升。组织可能需要根据PII主体的反馈和诉求，对原有的合法性依据进行修订，以更好地保护PII主体的权益。例如，组织计划将PII用于新的营销目的，但这一目的可能涉及PII主体的敏感信息，因此需要对合法性依据进行修订，并获取PII主体的额外同意。合PII处理目的变更与延伸时合法性依据的升级/修订方法；当PII处理目的发生变更或延伸时，组织应重新评估原有的合法性依据是否仍然适用。如果原有的合法性依据无法涵盖新的处理目的，或者新的处理目的对合法性依据提出了更高的要求，那么组织就需要对合法性依据进行升级或修订。这包括但不限于：评估现有合法性依据的适用性：首先，组织应全面评估现有的合法性依据是否能够满足新的PII处理目的。这包括审查现有的隐私政策、数据保护声明、用户协议等文件，以及相关的法律法规和监管要求；识别新的合法性要求：基于PII处理目的的变更和延伸，组织需要明确新的合法性要求。这可能涉及新的法律法规、行业标准或监管机构的指导原则。组织应确保新的合法性依据与这些要求保持一致；修订或制定新的合法性文件：根据评估结果和新的合法性要求，组织需要修订现有的合法性文件或制定新的文件。这可能包括更新隐私政策、数据保护声明、用户协议等，以确保它们准确反映新的PII处理目的和合法性依据；获取法律专业意见：在修订或制定新的合法性文件时，组织应咨询法律专家或顾问，以确保文件的合法性和合规性。法律专家可以提供关于法律法规解读、合规风险评估等方面的专业意见；公开透明地通知PII主体：组织应以公开透明的方式通知PII主体关于PII处理目的的变更、延伸以及合法性依据的升级或修订。这可以通过更新隐私政策、发送通知邮件、在官方网站上发布公告等方式实现。同时，组织应确保PII主体能够方便地获取和理解这些信息。PII处理目的变更与延伸时获取PII主体额外同意。如果新的PII处理目的或合法性依据涉及PII主体的敏感信息或对其权益产生重大影响，组织需要获取PII主体的额外同意。这可以通过提供明确的同意选项、解释新的处理目的和合法性依据，以及确保PII主体能够自由地选择是否同意等方式实现。组织在获取PII主体额外同意时，应遵循以下原则：明确告知PII主体：组织应以清晰、明确的方式告知PII主体关于PII处理目的的变更或延伸，以及这种变更或延伸对PII主体可能产生的影响。这可以通过更新隐私政策、发送专门通知或在官方网站上发布公告等方式实现；解释新的合法性依据：在告知PII主体处理目的变更的同时，组织应详细解释新的合法性依据是什么，以及它是如何支持新的处理目的的。这有助于PII主体理解并接受新的处理方式和合法性基础；提供明确的同意选项：组织应为PII主体提供明确的同意选项，允许他们自由地选择是否同意新的处理目的和合法性依据。这可以通过在线表单、电子邮件回复或书面同意书等形式实现；确保同意的自愿性：组织应确保PII主体的同意是自愿的，而不是被迫或误导下的结果。这意味着组织不能通过欺骗、误导或施加不当压力来获取同意。记录并保存同意证据；一旦PII主体表示同意，组织应记录并保存这一同意的证据。这可以是电子记录、书面文件或其他可验证的形式，以便在需要时提供证明。提供撤回同意的机制：组织应尊重PII主体的选择权，为他们提供撤回同意的机制。这意味着PII主体可以随时改变主意，并要求组织停止按照新的处理目的和合法性依据处理他们的个人信息；加强沟通与透明度：在整个过程中，组织应保持与PII主体的沟通畅通，及时回应他们的疑问和关切。同时，组织应增加透明度，让PII主体能够了解他们的个人信息是如何被处理和保护的。A.1.2.4确定何时以及如何获得同意组织应针对是否、何时和如何获得PII主体对处理PII的同意确定过程并形成文件，该过程应能够证实。除非有其他合法理由，否则处理PII可能需要获得同意。组织应明确何时需要获得同意以及获得同意的要求并形成文件。将处理目的与有关是否以及如何获得同意的信息相关联可能很有用。确定何时以及如何获得PII主体同意明确何时需要获得同意；组织应识别并明确哪些情况下处理PII需要获得PII主体的同意。这包括但不限于：当PII用于非公开目的或超出公开披露范围时；当PII用于营销、广告推送等可能影响PII主体权益的用途时；当PII被传输至第三方或跨境传输时；当处理敏感PII（如生物识别信息、医疗健康信息等）时。确定获得同意的要求；一旦明确了需要获得同意的情况，组织应进一步确定获得同意的具体要求，包括但不限于：同意的形式：明确同意是以书面、口头还是电子形式给出；同意的内容：明确同意所涵盖的PII类型、处理目的、处理方式等；同意的撤回：明确PII主体撤回同意的条件、方式和后果；通知与告知：在处理PII前，以清晰、易懂的方式向PII主体告知处理目的、方式、风险及同意的后果等。将处理目的与同意信息相关联；为了确保同意的有效性，组织应将处理目的与有关是否以及如何获得同意的信息紧密相关联。在寻求PII主体同意时，组织应明确说明处理PII的具体目的，并确保该目的与PII主体所给予的同意范围相一致。同时，组织还应在后续处理过程中持续跟踪和记录处理目的的变化，确保任何超出原同意范围的处理活动都经过重新评估和获得新的同意。形成文件记录。整个确定何时以及如何获得PII主体同意的过程应被详细记录并形成文件。这些文件应包括但不限于：同意政策：明确组织在处理PII时获得同意的政策和程序；同意记录：记录每次获得PII主体同意的时间、方式、内容等；处理活动记录：记录每次处理PII的时间、目的、方式以及是否获得同意等；审核与监控记录：记录对同意过程的审核和监控结果，确保合规性。在一些司法辖区对于如何收集和记录同意有具体要求（如不与其他协议捆绑）。除此之外，特定类型的数据收集（例如用于科学研究）和特定类型的PII主体，如儿童，可能需要附加的要求。组织应考虑此类要求并将如何使同意满足这些要求的机制形成文件。确定PII主体同意获取机制。理解同意的法律与监管要求；司法辖区对同意收集和记录的特定要求通常会在以下几种情形下被触发：敏感数据处理：当涉及敏感个人信息（如健康数据、金融数据、儿童数据等）的处理时，司法辖区往往会要求更严格的同意收集和记录流程，以确保个人隐私得到充分保护；特殊数据处理活动：某些特定的数据处理活动，如跨境数据传输、数据自动化决策（包括画像）、数据销售或共享给第三方等，可能引发额外的同意要求，因为这些活动可能对个人隐私产生较大影响；高风险数据处理：对于可能对个人权益产生重大影响的高风险数据处理活动，如大规模的数据收集、分析或挖掘，司法辖区也可能要求更严格的同意程序；法律或监管要求：某些司法辖区可能基于其特定的法律或监管框架，对同意的收集和记录提出具体要求，这些要求可能因地区、行业或数据类型的不同而有所差异。在触发特定要求的情形下，司法辖区对同意的收集和记录通常会提出以下具体规定或指导原则：独立性要求：同意必须独立获取，不得与其他协议或条款捆绑，确保个人能够自由、独立地作出同意决定；明确性和具体性：同意的表述必须清晰、明确，具体说明数据处理的目的、方式、范围以及可能的风险，确保个人充分理解并知晓其同意的内容；书面形式要求：在某些情形下，司法辖区可能要求同意必须以书面形式记录，以便后续查证和追溯；证据保存：组织应妥善保存同意的记录，包括同意的时间、地点、方式以及个人的身份信息等，作为合规证据备查；透明度：组织应公开其数据处理政策和实践，包括同意的收集和记录流程，以便个人了解并监督其数据处理活动；特殊保护：对于儿童、残疾人等特殊群体，司法辖区可能要求额外的保护措施，如获得法定监护人的同意、提供更适合其理解能力的同意方式等。特定类型数据收集的要求：特定类型的数据收集活动，尤其是那些可能对个人信息主体产生较大影响或涉及敏感信息的活动，往往需要更加严格的同意程序。这通常涉及更详细地告知、更严格的同意形式以及可能的伦理审查。特定类型数据收集的示例包括：特定类型数据收集的典型场景及同意要求示例场景特定类型数据收集描述特定类型数据收集的同意要求科学研究科学研究通常涉及大量个人信息的收集，如生物样本、健康数据、行为记录等，这些数据对于推动科学进步具有重要意义。科学研究机构在收集个人信息时，必须获得参与者的明确同意，并确保其充分了解研究目的、数据处理方式、潜在风险及权益保障措施。同意过程应遵循伦理审查原则，确保研究的合法性和合规性。金融服务与交易涉及个人身份信息、财务状况、交易记录等敏感信息的收集和处理。同意必须明确、自愿，且金融机构需严格遵守相关法律法规和监管要求，确保信息的安全性和保密性。医疗健康信息包括病历、诊断结果、治疗方案等高度敏感和私密的信息。医疗机构在收集和使用这些信息时，必须获得患者的知情同意，并遵循医疗伦理和隐私保护规定。教育与培训涉及学生的个人信息，如学籍信息、成绩记录、家庭背景等。教育机构在收集和使用这些信息时，需遵循相关法律法规，并获得学生及其监护人的同意。在线服务与社交媒体平台收集大量用户个人信息，如浏览记录、位置信息、社交关系等。平台必须获得用户的明确同意，并遵循相关隐私政策，确保用户隐私权的保护。特定PII主体的同意要求：对于以下特定类型的PII主体，组织应明确此类要求并确保合规。组织可能需要采取的附加要求包括：提供更加详细和易于理解的同意声明，确保同意过程的自愿性和无胁迫性，不得通过欺诈、胁迫或其他不正当手段获取同意，并采取额外措施保护其个人信息的安全性和隐私性，以及在必要时寻求法定监护人的同意等。特定PII主体的同意要求及附加措施示例特定PII主体特定PII主体的同意要求示例特定PII主体同意的附加措施儿童应获得其父母或其他监护人的同意，并确保同意过程符合儿童的认知能力和理解能力。-提供适合儿童理解的同意声明，使用简单、易懂的语言。-在必要时，通过儿童熟悉的方式（如动画、图画等）解释同意的内容。-确保父母或监护人的同意是明确、自愿的，并记录在案。残疾人由于可能在理解或表达同意方面存在困难，组织需要采取特别措施来确保其同意的真实性和有效性。-提供易于理解的同意声明，可能包括使用大字体、简单语言等。-使用辅助技术（如语音助手、屏幕阅读器等）进行沟通，确保残疾人能够充分理解同意的内容。-在必要时，寻求专业人员的帮助来协助获取残疾人的同意。老年人可能由于认知能力的下降而难以充分理解同意的后果。-使用清晰、简洁的语言解释同意的内容，避免使用复杂或晦涩的术语。-确保同意过程足够缓慢，给予老年人充分的时间来理解和考虑。-在必要时，寻求老年人信任的人（如家人、朋友等）的帮助来确认其同意。病患或医疗受试者在医疗或科研领域，可能涉及高度敏感的个人信息，需要遵循更严格的医疗伦理和隐私保护规定。-提供详细、全面的同意声明，明确说明研究或治疗的目的、方法、潜在风险及权益保障措施。-确保病患或医疗受试者在充分理解的基础上做出同意决定，必要时可提供专业的医疗咨询。-遵循医疗伦理委员会或相关监管机构的审批和监督，确保同意过程的合规性。制定同意获取的过程与机制；明确同意获取的场景：组织应识别并明确哪些场景下需要获得PII主体的同意，如数据收集、使用、共享、跨境传输等；设计同意的获取方式：根据法律法规和司法辖区的要求，设计合适的同意获取方式。这可能包括在线同意表单、书面同意书、电子签名等；确保同意的明确性：同意应明确、具体，并涵盖处理PII的目的、方式、范围等关键信息。避免使用模糊或笼统的语言，确保PII主体能够充分理解其权利与义务；分离同意与其他协议：在一些司法辖区，同意不得与其他协议捆绑。组织应确保同意的获取是独立的，不受其他条款或条件的影响。针对特定类型的同意要求：对于科学研究、儿童数据收集等特殊场景，制定专门的同意获取机制，并确保符合相关法律法规的要求。记录与证实同意的过程记录同意的详细信息：组织应记录每次获得PII主体同意的详细信息，包括同意的时间、方式、内容以及PII主体的身份等；建立同意的审核机制：定期对同意的获取过程进行审核，确保合规性。这包括检查同意记录的完整性、准确性以及同意过程的合规性；提供同意的查询与验证服务：为PII主体提供便捷的查询与验证服务，使其能够随时了解自己的同意状态及被处理的数据情况。A.1.2.5获取并记录同意组织应按形成文件的过程获得和记录PII主体的同意。组织应获得和记录PII主体的同意，使用的方式应可按需求提供同意的详细信息（例如，同意的时间，PII主体的身份，以及同意的陈述）。获取并记录PII主体同意获取PII主体的同意；明确同意的内容：组织应清晰、明确地告知PII主体数据处理的目的、方式、范围以及可能的风险，确保PII主体能够充分理解并知晓其同意的内容。自愿性与无胁迫性：同意必须是PII主体自愿做出的，组织不得通过欺诈、胁迫或其他不正当手段获取同意。同时，组织应提供便捷的撤回同意机制，确保PII主体能够随时撤回其同意。特定要求的考虑：对于特定类型的数据收集（如科学研究、医疗健康信息）和特定类型的PII主体（如儿童、残疾人、老年人），组织应充分考虑其特殊需求，并采取相应措施确保同意的真实性和有效性。记录PII主体的同意。记录详细信息：组织在获得PII主体的同意后，应详细记录同意的相关信息，包括但不限于同意的时间、PII主体的身份（如姓名、身份证号、联系方式等，但需注意在记录时遵守最小化原则，避免过度收集），以及同意的具体陈述。这些信息应能够按需求提供，以便在必要时进行查阅和验证；记录方式的选择：记录同意的方式应确保信息的准确性、完整性和可追溯性。组织可以采用电子或纸质形式进行记录，但无论采用何种形式，都应确保记录的安全性和保密性，防止信息泄露和滥用；记录的保存与管理：组织应建立完善的记录保存和管理机制，确保同意记录的完整性和可追溯性。记录应保存至数据处理活动结束后的一定时期内，以便在必要时进行查阅和审计。同时，组织应定期对记录进行审查和更新，确保其准确性和有效性。在同意过程之前提供给PII主体的信息应遵循B.1.3.4向PII主体提供信息的指南。遵循指南向PII主体提供信息以获取同意根据“B.1.3.4向PII主体提供信息”的指南，组织在同意过程之前应向PII主体提供以下关键信息：数据处理者的身份和联系方式：明确告知PII主体数据处理者的名称、地址、联系方式等基本信息，以便PII主体在需要时能够联系到数据处理者；数据处理的目的、方式和范围：详细解释数据处理的具体目的、采用的方式（如收集、存储、使用、传输等）以及处理的范围（如涉及哪些类型的数据、处理将持续多长时间等）；数据处理的合法性和合规性基础：说明数据处理所依据的法律法规或隐私政策条款，以及为何需要PII主体的同意；PII主体的权利：告知PII主体其享有的权利，如访问、更正、删除其个人信息，以及撤回同意的权利等。数据安全措施：描述组织为保护PII主体数据安全所采取的技术和管理措施，以及这些措施如何确保数据的安全性和保密性。其他相关信息：如数据处理可能涉及的风险、数据跨境传输的情况（如有），以及PII主体寻求救济的途径等。提供信息的方式和时机。方式：组织应采用清晰、易懂的语言和形式向PII主体提供上述信息，可以是书面、电子或其他适当形式。对于特定类型的PII主体（如儿童、老年人等），应采取特别措施确保其能够理解所提供的信息；时机：信息应在获取PII主体同意之前提供，以便PII主体在充分了解数据处理的相关信息后做出决定。同意应：自由给予；与具体处理目的关联；清晰明确无歧义。确保PII主体同意的自由性、关联性与明确性同意的自由性；同意的自由性定义与要求：指PII主体在不受任何欺诈、胁迫、误导或不当影响的情况下，自愿地做出同意数据处理的决定。组织应确保同意过程不存在任何形式的强迫或不当诱导，使PII主体能够基于自身意愿做出选择；实施措施：提供充分的信息：在请求PII主体同意之前，组织应详细、清晰地告知数据处理的相关信息，包括处理目的、方式、范围及可能的风险等，以便PII主体做出明智的决定；避免捆绑同意：组织不得将数据处理同意与其他服务或产品捆绑在一起，要求PII主体必须同意数据处理才能享受其他服务或产品；提供撤回同意的选项：组织应确保PII主体有权随时撤回其同意，并明确告知撤回同意的方式和后果。同意与具体处理目的的关联性；与具体处理目的关联的定义与要求：同意与具体处理目的的关联性指PII主体的同意应明确针对特定的数据处理目的，而不是泛泛而谈或模糊不清的同意。组织应确保PII主体了解并同意其个人数据将被用于哪些具体目的。实施措施：明确处理目的：在请求PII主体同意时，组织应明确说明数据处理的具体目的，如市场营销、客户服务、数据分析等；限制处理范围：组织应确保数据处理活动严格限制在PII主体同意的范围内，不得擅自扩大处理范围或改变处理目的。同意的清晰明确无歧义。清晰明确无歧义定义与要求：同意的清晰明确无歧义指PII主体的同意应表述清晰、具体，不含糊其辞或产生歧义。组织应确保PII主体能够准确理解同意的内容及其后果；实施措施：使用简洁明了的语言：组织在请求PII主体同意时，应使用简洁、易懂的语言，避免使用专业术语或复杂句式；提供具体的同意选项：组织应提供具体的同意选项，如“同意”“不同意”或“部分同意”，以便PII主体能够明确表达其意愿；确认同意内容：在PII主体做出同意决定后，组织应确认其同意的内容，并确保记录中的同意信息与PII主体的实际意愿一致。A.1.2.6隐私影响评估当策划新的PII处理或对现有PII处理进行变更时，组织应评估进行隐私影响评估的需求并在适当时实施。PII处理产生对PII主体的风险。这些风险应通过隐私影响评估予以评估。一些司法辖区规定了强制进行隐私影响评估的情形。评估准则可以包括对PII主体、大规模处理特殊类别的PII（如健康相关信息，种族或民族出身，政治观点，宗教或哲学信仰，工会会员资格，基因数据或生物特征数据）或大规模系统性监测公共区域产生法律影响的自动化决策。识别与应对PII处理中的风险隐私影响评估的核心目的；隐私影响评估的核心目的是评估PII处理活动对PII主体可能产生的风险，并确保这些风险得到妥善管理和控制。这些风险不仅可能损害PII主体的个人隐私权，还可能对其法律权益、社会声誉乃至人身安全造成严重影响。因此，组织有必要通过隐私影响评估来全面识别、评估并应对这些风险。通过评估，组织可以识别潜在的数据泄露、滥用、误用以及不当公开等风险，并采取相应的措施来降低或消除这些风险。隐私影响评估的触发条件；新的PII处理活动：当组织计划开展新的PII处理活动时，如收集、存储、使用、传输、披露或销毁PII，均应进行隐私影响评估。这包括但不限于新客户注册、用户行为跟踪、数据共享合作等；对现有PII处理的变更：如果组织对现有PII处理活动进行重大变更，如改变处理目的、方式、范围、保留期限或引入新的技术手段（如人工智能、大数据分析等），同样需要进行隐私影响评估。这些变更可能引入新的风险，需要重新评估并调整风险控制措施；特定情形下的强制要求：一些司法辖区可能规定了强制进行隐私影响评估的情形，如处理特殊类别的PII（如健康相关信息、种族或民族出身、政治观点、宗教或哲学信仰、工会会员资格、基因数据、生物特征数据等敏感信息）或进行大规模系统性监测公共区域并产生法律影响的自动化决策等。在这些情形下，组织应依法进行隐私影响评估，并确保评估结果符合相关法律法规的要求。其他常见触发条件：数据跨境传输：当组织需要将PII传输到境外时，应进行隐私影响评估，以确保数据传输的合法性和安全性；数据泄露或安全事件：在发生数据泄露或其他安全事件后，组织应进行隐私影响评估，以评估事件对PII主体的影响，并采取必要的补救措施；合规性审查：定期组织进行合规性审查时，如果发现PII处理活动可能存在合规风险，应进行隐私影响评估以确认风险并采取相应措施；新技术或新服务的引入：在引入新技术或新服务（如云计算、物联网等）时，如果这些技术或服务涉及PII处理，应进行隐私影响评估以确保其符合隐私保护要求。隐私影响评估的内容与准则；隐私影响评估的内容——隐私影响评估应涵盖PII处理的各个方面，包括但不限于：PII主体的权益影响：评估PII处理对PII主体隐私权、数据安全及其他法律权益的潜在影响；特殊类别PII的处理：特别关注特殊类别PII的处理，确保其符合相关法律法规的严格保护要求；自动化决策的影响：对于涉及自动化决策（如基于PII的信用评分、招聘筛选等）的处理活动，应评估其可能对PII主体产生的法律影响；风险识别与评估：全面识别PII处理过程中可能存在的风险，并评估其严重性和可能性；合规性审查：检查PII处理活动是否符合相关法律法规、隐私政策以及行业标准的要求。隐私影响评估的准则——可以包括上述提到的对PII主体产生法律影响的自动化决策、大规模处理特殊类别的PII以及大规模系统性监测公共区域等情形，但不限于此；组织应根据实际情况制定具体的评估准则，并确保评估过程的全面性和客观性。组织应确定完成隐私影响评估所必需的要素。这些可包括处理的PII的类型清单，何处存储PII，何处可转移PII。在这种情况下，数据流图和数据图也很有帮助（有关可以为隐私影响或其他风险评估提供信息输入的PII处理记录的详细信息，请参见“B.1.2.9与处理PII相关的记录”）。确定完成隐私影响评估所必需的要素隐私影响评估的关键要素；处理的PII类型清单：组织需要明确列出所有计划处理或已处理的PII类型。这些类型可能包括但不限于个人身份信息（如姓名、身份证号）、联系方式（如电话、邮箱）、财务信息（如银行账户、信用卡号）、健康信息（如病历、医疗记录）以及生物特征信息（如指纹、面部识别数据）等。通过列出这些类型，组织可以清晰地了解哪些信息属于PII，并据此评估处理这些信息的风险；PII的存储位置：组织应记录所有存储PII的物理位置（如服务器机房、数据中心、备份磁带存放地等）和逻辑位置（如云存储服务、数据库系统、文件服务器等）。同时，还需要评估这些存储位置的安全性，包括物理安全措施（如门禁系统、监控摄像头）和逻辑安全措施（如加密、访问控制）；PII的转移路径：组织应梳理PII在内部和外部的转移路径。这包括数据传输的方式（如网络传输、物理介质传输）、传输的频率、接收方的身份和位置以及传输过程中的安全措施。通过了解PII的转移路径，组织可以识别潜在的数据泄露风险，并采取相应的措施来确保数据在传输过程中的安全性；数据流图和数据图：数据流图和数据图是可视化展示PII处理流程的重要工具。数据流图展示了PII从收集、存储、使用到销毁的整个生命周期，以及各个处理环节之间的关联关系。数据图则可能包括实体关系图、数据字典等，用于描述PII的结构、属性和关系。这些图表有助于评估人员更直观地理解PII处理流程，从而更准确地识别潜在的风险点；与处理PII相关的记录：组织应建立和维护与处理PII相关的详细记录。这些记录应包括处理活动的目的、方式、范围、时间戳、操作人员等信息，以及任何与PII处理相关的决策、批准和变更记录。这些记录为隐私影响评估提供了重要的信息输入，有助于评估人员了解PII处理活动的实际情况和风险状况；法律法规和合规要求：在进行隐私影响评估时，组织还需要考虑相关的法律法规和合规要求。这包括数据保护法规、行业规范、国际标准以及合同义务等。组织需要确保PII处理活动符合这些要求，并据此评估潜在的法律风险和合规风险。风险评估方法和工具：组织应选择适当的风险评估方法和工具来进行隐私影响评估。这些方法可能包括定性和定量评估、风险矩阵、威胁建模等。工具则可能包括风险评估软件、数据分类工具、安全审计工具等。通过选择合适的方法和工具，组织可以更有效地识别、评估和管理PII处理活动中的风险。隐私影响评估的实施步骤。确定评估范围和目标：明确隐私影响评估的具体范围，包括涉及的PII类型、处理活动、系统、流程等。设定评估的目标，如识别隐私风险、评估合规性、提出改进建议等；组建评估团队：组建一个跨部门的评估团队，成员应包括隐私保护专家、法律顾问、数据处理人员、系统管理员等。确保团队成员具备必要的隐私保护知识和经验，能够全面、客观地评估PII处理活动；收集相关信息：收集与PII处理活动相关的所有信息，包括处理的PII类型清单、存储位置、转移路径、数据流图和数据图等。参考“B.1.2.9与处理PII相关的记录”，确保收集的信息全面、准确；识别隐私风险：基于收集的信息，识别PII处理活动中可能存在的隐私风险，包括数据泄露、滥用、误用、非法访问等。分析风险的可能性和影响程度，确定风险等级；评估合规性：对照相关法律法规、行业标准和组织内部的隐私政策，评估PII处理活动的合规性。识别任何潜在的合规差距或违规行为；制定应对措施：针对识别出的隐私风险和合规差距，制定具体的应对措施，如修改处理流程、加强数据保护措施、完善隐私政策等。确保措施的实施可行性和有效性；撰写评估报告：撰写详细的隐私影响评估报告，包括评估范围、目标、过程、风险识别、合规性评估、应对措施等内容。报告应清晰、准确地反映评估结果，便于组织内部和外部的相关方理解；审阅和批准：将评估报告提交给组织内部的相关决策机构或领导进行审阅和批准。确保评估结果得到充分的认可和支持；实施改进措施：根据评估报告中的应对措施，组织实施改进措施，确保PII处理活动符合隐私保护要求。监控改进措施的实施效果，及时调整和优化；持续监控和更新：对PII处理活动进行持续监控，确保隐私保护措施的有效性。定期或根据需要对隐私影响评估进行更新，以适应组织业务的发展和法律法规的变化。与PII处理相关的影响评估指南可见IS0/IEC29134-2023《信息技术。安全技术。隐私影响评估指南》。隐私影响评估的实施依据与参考指南在隐私信息管理中，当组织策划新的个人识别信息（PII）处理活动或对现有PII处理活动进行变更时，进行隐私影响评估（PrivacyImpactAssessment,PIA）是至关重要的。为确保评估的规范性和专业性，组织应参考相关的国际标准和指南。其中，ISO/IEC29134-2023《信息技术安全技术隐私影响评估指南》为组织提供了详细的评估框架和方法论；该指南全面阐述了隐私影响评估的原则、流程、方法和要求，帮助组织系统地识别、评估和处理PII处理活动中可能涉及的隐私风险。它指导组织如何确定评估的范围和目标，收集和分析相关信息，识别潜在的隐私威胁和漏洞，评估风险的可能性和影响程度，并据此制定相应的风险缓解措施和控制策略。A.1.2.7与PII处理者的合同组织应与任何其使用的PII处理者签署书面合同，就确保他们与PII处理者的合同明确附件A（见表A.2）中适当控制的实施。组织和任何代表其处理PII的处理者之间的合同应考虑信息安全风险评估过程（见6.1.2）和由PII处理者处理的PII的范围，要求PII处理者实施附录A（见表A.2）规定的适当控制措施。默认情况下，应假定附录A（见表A.2）中规定的所有控制措施都相关。如果组织决定不要求PII处理者实施附件A（见表A.2）中某个控制措施，应说明删减的合理性（见6.1.3）。与PII处理者的合同签订及控制措施实施要求合同内容的具体要求与规范；委托PII处理需签订详尽合同以确保隐私保护：在隐私信息管理的实践中，当组织选择将个人识别信息（PII）的处理工作委托给第三方（即PII处理者）时，签订一份详尽的书面合同是确保双方权益、明确责任义务的关键步骤。合同需涵盖基本合作条款，并深入考虑信息安全风险评估过程，遵循特定风险评估方法和流程，以确保PII处理活动始终符合隐私保护要求，降低数据泄露、滥用等风险；合同应明确界定PII处理者处理数据的具体范围：合同内容应清晰界定PII处理者所处理数据的具体范围，包括PII的类型、数量、来源、预定用途以及数据的存储和传输方式等细节。通过明确这些数据细节，可确保PII处理者全面准确理解其处理的数据，从而采取更加针对性和有效的隐私保护措施。控制措施的实施、删减与风险应对。合同中明确PII处理者的控制措施要求：为确保PII处理者能够切实履行其保护PII的职责，合同中应明确列出并要求其严格执行《附录A：表A.2PII处理者的控制目标和控制措施》中规定的各项控制措施。这些控制措施基于行业最佳实践及法律法规要求，旨在全方位保障PII的机密性、完整性和可用性，有效防止非法访问、篡改或泄露。控制措施实施的严格性与全面性：默认情况下，应假定《附录A：《表A.2PII处理者的控制目标和控制措施》中所有控制措施均必不可少，PII处理者必须无条件全面实施，以体现对隐私保护工作的严格性和全面性要求，确保PII在处理过程中始终受到最高标准的保护。控制措施的灵活调整与合理性说明：实际操作中，组织可根据风险评估结果和实际需求调整控制措施，合同中需明确说明删减的合理性。同时，组织应严格遵循规定流程评估删减风险，并制定风险缓解措施，如加强其他控制措施、增加监控审计频率等，以确保PII的整体保护水平不受影响，保障其安全性和合规性；删减控制措施的风险评估与缓解措施：为了支持这一决策过程，组织应严格遵循“6.1.3隐私风险应对”章节中提供的方法和流程，对删减控制措施可能带来的风险进行全面而深入的评估。同时，还应制定相应的风险缓解措施，以确保即使某些控制措施被删减，PII的整体保护水平也不会因此受到显著影响。这些风险缓解措施应包括但不限于加强其他相关控制措施的实施、增加监控和审计的频率等，以确保PII的安全性和合规性始终得到有力保障。合同可对每一方的职责给予不同定义，但是，为了与本标准一致，应在形成文件的信息中考虑和包含所有的控制措施。合同职责定义与包含附录A中的控制措施职责定义：组织（作为PII控制者）与其使用的PII处理者之间的合作关系是通过书面合同来确立和规范的。合同作为双方合作的法律基础，具有高度的灵活性，允许对每一方（即PII控制者和PII处理者）的职责进行具体且明确的定义。这种定义可以根据双方的实际业务需求、合作模式以及隐私保护要求进行调整，以确保合同的针对性和有效性；对于PII控制者：明确控制目标：合同中应明确PII控制者的控制目标，即确保PII的收集、处理、存储、传输和销毁等全生命周期活动符合隐私保护要求；规定控制措施：PII控制者应在合同中规定其将采取的控制措施，这些措施应涵盖附件A（《表A.2PII处理者的控制目标和控制措施》）中列出的适当控制，以确保PII处理活动的安全性和合规性；监督与审计：PII控制者有权对PII处理者的处理活动进行监督与审计，以确保其遵守合同约定的控制目标和控制措施。对于PII处理者：遵守控制目标与措施：PII处理者应在合同中承诺遵守PII控制者设定的控制目标和控制措施，确保PII处理活动的合规性和安全性；保护PII安全：PII处理者应承担保护PII安全的责任，采取必要的技术和管理措施，防止PII的泄露、滥用或损坏；配合监督与审计：PII处理者应积极配合PII控制者的监督与审计活动，提供必要的协助和信息，以证明其遵守了合同约定的控制目标和控制措施；及时报告与响应：在发生PII泄露、滥用或其他安全事件时，PII处理者应立即向PII控制者报告，并采取必要的应急响应措施，以减轻损失并防止事态扩大。包含控制措施：为了与本标准（即ISO/IEC27701.2保持一致，并确保PII处理活动符合严格的隐私保护要求，合同必须在形成文件的信息中全面考虑并明确包含《附录A表A.2PII处理者的控制目标和控制措施》中列出的所有控制措施。这些控制措施是基于行业内的最佳实践以及相关法律法规要求而制定的，旨在全方位保障PII的机密性、完整性和可用性，防止任何形式的非法访问、篡改或泄露。A.1.2.8PII联合控制者组织应与任何联合PII控制者确定处理PII（包括PII保护和安全要求）的各自角色和职责。PII处理的角色和职责应以透明的方式确定。PII联合控制者角色与职责的透明化确定“组织应与任何联合PII控制者确定处理PII的各自角色和职责”通常发生在情形中：背景说明：在隐私信息管理中，当多个组织共同作为PII的控制者时，即形成了联合控制的情境。这种情境下，各组织之间需要明确各自在处理PII过程中的角色和职责，以确保PII处理的合法性、合规性以及个人信息安全；情形1：共同处理PII：当两个或多个组织共同参与PII的处理活动，如数据收集、存储、使用、传输或披露时，就应明确各自的角色和职责，以确保PII处理的合法性和安全性；情形2：共享PII控制权：在某些情况下，多个组织可能共享对PII的控制权，例如，在数据共享协议或合作项目中。这时，各组织需要协商并确定各自在处理PII时的权限和责任；情形3：法律法规或合同要求：某些法律法规或合同条款可能要求组织在与其他实体共同处理PII时，应明确各自的角色和职责。这种情况下，组织需要遵守相关法律法规或合同条款，与联合PII控制者进行协商，并确定各自的责任边界；情形4：风险管理和合规需要：为了保护个人信息安全，降低隐私泄露风险，并满足合规要求，组织应与联合PII控制者共同制定并执行严格的PII保护和安全措施。这要求各组织明确各自在处理PII时的角色和职责，以确保措施的有效实施。透明确定角色与职责的重要性：PII处理的角色和职责的透明确定，是联合控制情境下保障个人信息安全的基础；透明性意味着所有联合控制者都能清晰了解各自的责任边界，从而避免责任不清导致的隐私泄露或安全风险。以透明的方式确定PII处理的角色和职责；建立沟通机制：与联合PII控制者建立定期沟通机制，确保信息的及时传递和共享；明确职责范围：通过协商和讨论，明确各自在处理PII时的具体职责范围，包括但不限于数据处理的目的、方式、范围、期限等；制定共同规则：共同制定并遵守关于PII处理的规则和标准，包括PII保护和安全要求，确保PII处理的合法性和安全性；签订书面协议：将各自的角色和职责以书面协议的形式固定下来，这包括明确各自在处理PII时的具体任务、权限、责任以及PII保护和安全要求，作为双方共同遵守的依据。全面覆盖：这种透明化的确定过程应包括但不限于PII的收集、存储、使用、传输、披露以及销毁等全生命周期的各个环节，每个控制者都应清楚自己的职责范围，并能按照既定的规则和要求执行相关操作；公开透明信息：在确保个人隐私不受侵犯的前提下，公开透明地处理PII的相关信息，增强个人对组织处理其信息的信任度。PII保护和安全要求的融入。在确定各自角色和职责的过程中，应特别关注PII的保护和安全要求。联合控制者应共同制定并执行严格的PII保护和安全措施，如数据加密、访问控制、审计日志记录、风险监测与预警等。这些措施应旨在有效应对潜在的隐私泄露和安全风险，确保PII在处理过程中得到充分的保护。这些角色和职责应记录在合同或任何类似的约束性文件中，其中包含联合处理PII的条款和条件。在一些司法辖区，此类协议称为数据共享协议。明确角色职责并记录于约束性文件将PII联合控制者的角色和职责记录在约束性文件中是至关重要的，原因如下：明确责任：通过书面形式明确各自的角色和职责，可以确保每个联合控制者都清楚自己的任务和责任，避免责任不清导致的推诿或重复工作。法律合规：在许多司法辖区，处理PII需要遵守严格的法律法规。将角色和职责记录在约束性文件中，可以作为法律合规的证据，证明联合控制者已经采取了必要的措施来保护PII。保障个人权益：明确的角色和职责有助于确保PII的处理符合个人隐私权益的保护要求，减少隐私泄露的风险，增强个人对信息处理的信任。便于监管和审核：约束性文件可以作为监管机构和审核机构审查联合控制者处理PII行为的重要依据，有助于确保处理的合法性和合规性。角色与职责的明确：协商确定：组织应与联合PII控制者进行充分沟通，共同协商确定各自在处理PII时的具体任务、权限和责任。书面记录：协商确定后，这些角色和职责应被详细记录在合同或类似的约束性文件中，以确保双方或多方在处理PII时有明确的依据。条款与条件：约束性文件中应包含联合处理PII的具体条款和条件，如处理目的、方式、范围、期限等，以确保PII处理的合法性和合规性。记录于约束性文件：这些明确后的角色和职责应被详细记录在合同或类似的约束性文件中。该文件应作为双方或多方处理PII的法律依据，确保各自的行为符合约定的条款和条件。数据共享协议的应用：特定称谓：在一些司法辖区，此类记录角色和职责的约束性文件被称为数据共享协议。数据共享协议是联合PII控制者之间处理PII的重要法律依据。在一些司法辖区，此类记录角色和职责的约束性文件被称为数据共享协议；共享协议在PII联合控制中扮演的角色：数据共享协议是联合控制者之间处理PII的法律依据和行动指南。具体来说：法律约束：数据共享协议具有法律约束力，可以确保联合控制者按照约定的条款和条件处理PII，维护双方的合法权益；明确条款：协议中详细列明了联合处理PII的条款和条件，包括处理目的、方式、范围、期限等，为联合控制者提供了清晰的行动指南；保障安全：协议中通常包含PII保护和安全要求的条款，确保PII在处理过程中得到充分的保护，防止泄露、篡改或滥用；促进合作：数据共享协议有助于促进联合控制者之间的合作与沟通，确保双方在处理PII时能够协同工作，共同实现处理目标。制定有效的数据共享协议应遵循以下步骤：明确处理目的：首先明确联合处理PII的目的，确保处理行为符合法律法规和隐私政策的要求；协商确定条款：与联合控制者进行充分协商，共同确定协议中的条款和条件，包括处理范围、方式、期限、保护措施等；遵循法律法规：确保协议内容符合相关法律法规的要求，特别是关于PII处理和隐私保护的规定；明确责任义务：在协议中明确联合控制者的责任和义务，包括数据处理、保护、安全等方面的具体要求；设立监督机制：建立监督机制，确保协议得到有效执行，及时发现和纠正违规行为；定期更新与审查：定期更新和审查协议内容，以适应法律法规和隐私政策的变化，确保处理的合法性和合规性。联合PII控制者协议可包括（该清单并非明确详尽的全部内容清单）：PII共享的目的/联合PII控制者关系；作为联合PII控制者关系一部分的组织（PII控制者）的身份；按照协议拟共享和/或转移和处理的PII类别；处理操作（例如转移、使用）的概述；各自角色和职责的描述；负责实施PII保护的技术和组织安全措施的职责；发生PII违规事件时的职责界定（例如，由谁通知、何时通知、相互通报）；PII的保留或处置条款；未遵守协议的责任；如何履行对PII主体的义务；如何向PII主体提供涵盖联合PII控制者之间协议要点的信息；PII主体如何获取其有权接收的其他信息；为PII主体提供的联络点。联合PII控制者协议基本框架（关键内容与要素）PII共享的目的/联合PII控制者关系：明确联合控制PII的初衷和目的，阐述为何需要共享或联合处理PII，以及这种合作关系如何促进各自业务目标的实现。PII共享的目的。在制定共享目的时，应充分考虑以下几个方面：业务需求：明确各方因何业务需要而共享PII，以及共享后如何提升业务效率或效果。合法性基础：确保共享PII的行为符合相关法律法规的要求，如数据保护法规、隐私政策等。风险评估：对共享PII可能带来的风险进行全面评估，并制定相应的风险应对措施。联合PII控制者关系：阐述参与联合控制的各方之间的关系。它应明确列出所有参与联合控制的PII控制者的全称、地址、联系方式等基本信息，以确保身份清晰可追溯，便于后续沟通和协作。同时，还应描述各方在联合控制过程中的角色、职责和权力分配，以确保各方能够各司其职、协同合作。明确作为联合PII控制者关系一部分的组织（PII控制者）的身份：列出所有参与联合控制的PII控制者的全称、地址、联系方式等基本信息，确保身份清晰可追溯，便于后续沟通和协作。组织身份的明确性；要求列出所有参与联合控制的PII控制者的全称、地址、联系方式等基本信息。这是确保各方身份清晰可追溯的基础，也是后续沟通和协作的基石。通过明确组织身份，可以建